❓

Virus Settings FotaProvider: ventanas emergentes de publicidad que no se pueden cerrar

BocaDePez 13 mayo 2017 12:58 ✎

⋮

He decidido abrir un hilo aquí, separado de una pregunta que hice sobre que tengo publicidad en el móvil, porque ya tengo identificado el problema y creo que de esta manera es más claro para cualquier otra persona que pueda tener el mismo problema.

Desde hace 1 o 2 días, el móvil me muestra unas ventanas de publicidad que duran 10 segundos con una cuenta atrás y no se pueden cerrar.

No recuerdo haber instalado aplicaciones nuevas… lo que si recuerdo es que he actualizado las aplicaciones existentes con el Google play.

Recuerdo que una de las actualizaciones recomendaba actualizar a una aplicación, supuestamente de Google, que era ajustes del sistema, Settings.

Actualicé todo y sin problemas.

1 día más tarde, recibo un mensaje en el móvil (no por SMS, no, un mensaje interno de Android) diciéndome que se ha desinstalado la aplicación Settings porque se ha detectado que es perjudicial para el sistema.

Me quedé un poco sorprendido.

Al día siguiente, comienzan los anuncios publicitarios que no se pueden cerrar con una duración de unos 10 segundos.

Después de pasar varios antivirus, y leer en varias webs como detectar virus, VEO ALGO SOSPECHOSO EN EL MÓVIL.

App Setting camuflada como ajustes del sistema

Hay una aplicación que se está haciendo pasar por una aplicación del sistema. Se llama, Settings. Mi móvil está en Español, por tanto, cuando tengo que configurar algo, voy a Ajustes… no obstante, se ve que el virus intenta camuflarse como una aplicación del sistema… así que lo que hace es ponerse el nombre de Settings (en inglés) y copiar con exactitud el icono de la aplicación ajustes. Claro, si fuera inglés o americano, no habría forma de darme cuenta, pero como soy Español y el móvil está en castellano, veo claramente que hay dos ajustes con el mismo icono de la rueda dentada. Uno pone ajustes, que es el que trae el sistema. Otro pone Settings. Si yo voy a Ajustes, esta aplicación no la puedo desinstalar, porque viene con Android. Pero si voy a la otra aplicación, que es la que se está haciendo pasar por un programa del sistema, si voy a la aplicación Settings, esta si que se puede desinstalar. Es más cuando le paso antivirus, se detecta esta aplicación como un virus.

Perfecto, ya la tenemos localizada. La desinstalamos.

El problema es que pasados 30 minutos o 1 hora, no tiene tiempo fijo, esta maldita aplicación se instala sola, y vuelve al sistema otra vez, con lo cual, aunque la limpie, el móvil se vuelve a infestar.

Me ha detectado también el AVG una aplicación que dice ser del sistema, se llama FotaProvider y que no se puede desinstalar.

¿Cómo podría limpiar esto?

Esto le puede pasar a cualquier móvil, sea de 50 € o un Samsung de última gama, creo que es importante buscar una solución por si a más gente le pasa esto. Especialmente, después del ataque mundial de ransomware que ha parado a medio mundo, no se si tendrá relación, pero mis problemas comenzaron EN MI MOVIL, el viernes, justo el mismo día del ataque.

superllo 13 mayo 2017 13:24

⋮

Prueba a reiniciarlo de fábrica (mejor a través del recovery) y si no lo consigues te tocaría volver a meter la ROM.

✖

BocaDePez 14 mayo 2017 02:34

⋮

¿No veo ninguna opción para hacer el recovery en el móvil?

En el Huawei si que era fácil hacerlo, tenía una opción para devolver el móvil a los valores de fábrica.

¿Se tiene que hacer con una combinación de botones?

Es un Leotec

✖

BocaDePez 14 mayo 2017 02:41

⋮

PERDON DICE QUE TENGO: com.chunmei.calculator

Eso es exactamente lo que dice. No tengo esta calculadora, ni la veo en las aplicaciones del sistema.

✖

BocaDePez 8 julio 2017 16:31

⋮

Una opción temporal es instalarse un firewall y en los ajustes (Wi-fi y de red móvil ) bloquear la aplicación "settings" de manera que no pueda acceder a internet y descargar esos molestos anuncios a mi me ha resultado pero si alguien tiene una solución definitiva que por favor la comparta?

BocaDePez 20 julio 2017 12:21

⋮

Yo tambien tengo un leotec titanium print, y tambien se infecto con el virus triada, buscando por internet no hay forma de quitartelo de encima por lo visto se instala en la memoria y es imposible con los medios habituales, pero exite una solucion drastica pero la unica, bajarse de la pagina de leotec su rom y con el flash_tool reinstalar tolo con la opcion format ALL+Download. Se borrara todo y instalara de nuevo la rom, incluso el ime se borrara pero existe un programa en app de google llamado MTK engiroening mode que restrablece IME. A mi me funciono, no olvides guardar tu cosas importantes porque todo se borra,

✖

BocaDePez 22 julio 2017 02:49

⋮

COMO ME ALEGRO DE OIR ESTE MENSAJE, resulta que hay más gente afectada de los Leotec Titanium Prints que tienen este problema. Te comento, he hablado con Leotec y me han dicho que están ultimando un firmware nuevo... yo que tu, si está en garantía, pedía que te recojan el teléfono, te lo recoge ASM y ya te pondrían el firmware nuevo.

Por cierto, prueba a conectarle un teclado bluetooth a tu movil Leotec Titanium Print, observarás que las teclas H y la U no funcionan, eso es un fallo de firmware y tienen que corregirlo. Dicen que están en ello.

BocaDePez 13 mayo 2017 13:29

⋮

Esto le puede pasar a cualquier móvil, sea de 50 € o un Samsung de última gama, creo que es importante buscar una solución por si a más gente le pasa esto.

Pues no, la verdad es que Samsung no te va a instalar un virus en el móvil para mostrarte publicidad a pantalla completa. Eso sólo pasa en los chinorris, y lo he visto un montón de veces.

vukits 13 mayo 2017 13:30

⋮

haz copia de las cosas de tu tarjeta SD..

y busca una ROM limpia.

es lo que hice yo en su día, con un móvil chinorri

BocaDePez 13 mayo 2017 16:45

⋮

Parece que el problema ocurre al cargar firefox. Le he pasado el CM security antivirus y limpia perfectamente el móvil. Pasan varias horas y no le sale publicidad, ahora... al hacer click en el firefox, automáticamente, se me instala el Settings ese y otra vez vuelven las pantallas de seguridad, es como si algo hubiera infestado el navegador, y no hubiera manera de limpiarlo.

Tiene sentido que al navegar me haya metido por alguna parte, que me ha colado un complemento o algo.

¿Podría ser eso?

¿Se podrían ver los complementos instalados en firefox?

Saludos

✖

BocaDePez 13 mayo 2017 18:13

⋮

Sin que te enteres dudo que haya pasado eso, cuando una aplicación instala un complemento nada más iniciar Firefox lo primero que hace es preguntar si quieres activarlo o no.

Claro que puedes ver los complementos, abres el menú, Herramientas, Complementos.

BocaDePez 14 mayo 2017 02:31

⋮

Os comento, al pasar el antivirus, aparece detectado un Malware, se llama:

com.chungmei.calculator

No tengo ni idea de que es esto, pero si podéis encontrar que es os lo agradezco. He mirado en Google y no hay ni un resultado.

¿Mi Android 6.0 no tiene ninguna opción para resetearlo a los valores de fábrica, conocéis alguna forma de reiniciarlo a los valores de fábrica?

✖

soulreaver 14 mayo 2017 05:25

⋮

Eso es raro. Deberias tener la. Esa opcion en alguna parte de ajustes.

Sino pues apaga el telfono asegurate de al menos tener el 50 de bateria y pulsa el boton + de volumen y el de encendido ahi te deberia. Arrancar en modo recovery formateas y ya esta

Saludos

✖

BocaDePez 14 mayo 2017 15:41

⋮

El virus que me ha identificado es Android/AVT.RepMetagen

Android/AVT.RepMetagenAndroid/AVT.RepMetagen

¿Alguno sabíes qué es este tipo de virus?

✖

soulreaver 15 mayo 2017 21:37

⋮

vamos aver, te doy una posible solucion, y me respondes con mas de lo mismo, esto es de trollada de escandalo. si necesitas mas instrucciones para recuperar el movil pide, sino, si vas a meter mas mierda en el hilo como que ahoira me detecta tal mierda y tal y tal pasa de nosotros, que te limpie el culo tu mama.

pepejil 14 mayo 2017 17:17

⋮

Tienes un bonito spyware. Y es muy típico en ROMs contaminadas para dispositivos chinos.

Es también normal que ese " com.chunmei.calculator" no salga en el menú de aplicaciones. Está escondido adrede para que no puedas manipularlo.

¿La solución? root, Android Terminal Emulator, haces un remount a /system con modos de escritura (rw), accedes a /system/apps y ahí lo verás. Lo borras con el comando rm y haces otro remount a /system en solo lectura (ro). Después reinicias el móvil.

✖

BocaDePez 19 julio 2017 11:17

⋮

pepejlr yo fui quien he abierto el hilo. Acabo de pasar tu solución al servicio técnico de mi teléfono, a ver que dicen.

Sinceramente si pudieras hacer un video de esto, explicando paso a paso como se hace esto del Terminal emulator, miles de personas te lo iban a agradecer. Miles o millones diría yo, porque esto no es alguien que una persona normal pueda hacer, hay que ser un técnico y tener concimientos avanzados como tú. Si pudieras guiarnos, sería de gran ayuda.

BocaDePez 4 junio 2017 23:04

⋮

Lo solucionarse? Yo también tengo ese malware el settings

✖

BocaDePez 6 junio 2017 18:28

⋮

Yo también tengo este malware, he flasheado la ROM de stock y ni así se va el maldito virus...

✖

BocaDePez 16 junio 2017 14:56

⋮

Yo lo llevé aun servicio técnico tb rootearon la room y nada lo he vuelto a llevar por segunda vez

BocaDePez 19 julio 2017 11:00

⋮

Que marca de móvil tienes ¿dices que ni flasheando la ROM se va?

¿Instalas desde orígenes desconocidos?

¿Has revisado si tus APK están limpias de virus? ¿las has pasado por el virus total?

BocaDePez 19 julio 2017 10:57

⋮

Como todos somos Boca de Pez en el foro no se sabe quien escribe, pero fui yo el que ha abierto el hilo. Ahora resulta 1 mes mas tarde, que mucha más gente está apareciendo con el mismo problema. PARECE SER QUE ESTE VIRUS ES UN TRIADA, y para quitarlo es la muerte. Reestablecer los valores de fábrica no sirve para nada, hay que Flashear.

Ruego que aquellas personas que han escrito diciendo que tienen el mismo problema:

Digan modelo exacto de móvil que tienen. Es importante decir esto para saber si este virus ataca a marcas grandes como SONY, SAMSUNG, LG... o bien esto está apareciendo en segundas marcas. El motivo puede ser que los fabricantes no aplican parches de seguridad, y este virus se cuela. Por eso es bueno saber las marcas de quienes tienen el problema.
Digan si descargan desde webs y tienen los orígenes desconocidos activados. Si habéis descargado APKs desde alguna web y finalmente os ha aparecido este problema, creo que todos queremos saber qué webs son para no descargar nada de allí.

He hablado con el fabricante de mi teléfono y me ha informado de lo siguiente. Parece ser que el mismo día del ataque a telefónica que salió en las noticias, se empezarón a infectar teléfonos de varios fabricantes, con el virus Triada (Settings). Me lo han comentado, y concretamente me han dicho que están en contacto con otros fabricantes y varios de sus clientes han tenido el mismo problema.

Parece ser que es un problema global y está afectando a mucha gente.

RECORDAD SIEMPRE: ANTES DE METERLE UNA APK AL MOVIL BAJADA DE UNA WEB, PASADLA POR EL VIRUSTOTAL. En esa web os dicen si tiene virus o no.

✖

BocaDePez 20 julio 2017 10:45

⋮

Mi marca de móvil es uhans A 101 marca china no conocida, tú que marca tienes?

✖

BocaDePez 20 julio 2017 13:48

⋮

Otra cosa en el servicio técnico no me lo dan solucionado! Tenia marcado que no se pudiera instalar aps de origen desconocido ,el problema me empezó a finales de mallo mi teléfono sigue en el servicio técnico un Motón de tiempo lo doy por perdido menos mal que solo me costo 50 euros pero me iba muy bien ,fotos bien,wasap redes sociales todo bien ....es un malware nunca visto que ni se va cambiando ROM

BocaDePez 22 julio 2017 02:46

⋮

Yo tengo un Leotec, y he sido quien ha abierto el hilo. Es posible que Leotec fabrique en China, y haya pillado un firmware infectado. ESTO HUELE A UN FIRMWARE INFECTADO QUE ESTA AFECTANDO A MAS FABRICANTES.

De momento vamos por las siguientes marcas afectadas:

Leotec
UMI
UHANS

Por favor, los que estén perjudicados por esto, que publiquen su modelo de móvil, fabricante y versión de Android.

✖

BocaDePez 22 julio 2017 22:43

⋮

Mi uhans A 101 es de la versión 6.0android... E leído por algún foro más y sí son marcas chinas las más afectadas conocidas en china marcas que no son muy reconocidas a nivel mundial.. Tb había alguien que tenía la marca nomus china infectada por este virus.. Aun no he visto que alguien se Le haya infectado un Samsung, LG y Huawei marcas más reconocidas

BocaDePez 27 julio 2017 05:42

⋮

El mio es un Polaroid 505 apenas me empezó el martes en la mañana sin haber descargado ni actualizado ninguna app soy de México

BocaDePez 27 julio 2017 12:04

⋮

Ulefone Metal, Paris y otros del mismo fabricante

Tardaron 2 meses en sacar una ROM sin el malware de Adups en el FotaProvider, pero desde mayo parece que la ROM oficial ya esta limpia.

BocaDePez 28 julio 2017 19:37

⋮

Yo tengo un Deco 77x y um Ulefone Future, en las dos tengo el dichoso virus Fota Provider. Se me instaló como una actualización del sistema, estoy asta los pantalones de este problema y no se como no lo han solucionado ya algún antivirus.

Tambien tengo el Amdroid/Pup.Adware.YeMobi.a en la aplicación de actualizar el sistema, puta cagada.

BocaDePez 2 agosto 2017 20:08

⋮

Yo antes tenia un Doogee y modelo si mal no recuerdo x9 tenia el virus y ahora tengo um zopo hero 2 mismo porblema

BocaDePez 18 septiembre 2017 12:04

⋮

Accent neon

BocaDePez 9 enero 2019 19:49

⋮

Blu

BocaDePez 21 julio 2017 02:21

⋮

Tengo el mismo virus en un android 6.0 marca china UMI

BocaDePez 22 julio 2017 02:44

⋮

Esto parece que está afectando a teléfonos fabricados en China, y como el mio es un Leotec, que imagino fabrica en China tiene el mismo problema. POR FAVOR, SEGUID DICIENDO LAS MARCAS, para encontrar el origen del problema.

✖

BocaDePez 23 septiembre 2018 22:26

⋮

Marca Francesa M.I.T. fabricada en china claro ... el mismo virus que todos

BocaDePez 2 agosto 2017 16:03

⋮

Tengo un Doogee X9 pro y el mismo problema

BocaDePez 17 agosto 2017 18:23 ✎

⋮

¡POSIBLE SOLUCIÓN!

Tengo el mismo problema en un Samsung Galaxy, he de decir que yo descargué de la web desde una PC una apk que se llama "Friendly for FB", que es una especie de Facebook pero con menos peso, después de hacer la instalación, me di cuenta que al igual que tu se me había instalado una aplicación con el nombre "SETTINGS" y un ícono de engrane", lo cuál me pareció extraño ya que, precisamente como lo comentas, dentro de las aplicaciones ya existe "AJUSTES" con el mismo ícono, no lo borré inmediatamente porque de cualquier manera tienes el temor de borrarlo por si acaso pertenece a sistema, el chiste es que mientras me di a la tarea de buscar algo (virus, malware, etc,etc) en la red acerca de algún malware llamado "settings", que dicho sea de paso, no encontré nada, y cuando regreso a la ventana de aplicaciones decidido a desinstalar, ¡oh sorpresa!, el ícono ya no estaba (pero la publicidad seguía apareciendo), lo busqué con Link2SD y me aparecía una apk sin ícono y sin nombre, y tampoco me dejaba borrarla por ciertos permisos que no me permitía desactivar, así que hoy, temiendo que fuera uno de los últimos recursos y, siendo sinceros, sin mucha esperanza, he instalado un antivirus que se llama Virus Cleaner (Hi Security) escaneé el celular y me detectó dos posibles amenazas pero no me ponía el nombre de la apk que las contenía, al mantener presionada la ventana donde me informaba (para ver los detalles) de la amenza encontarda, me dió un nombre del malware: artemis!c06f7b99957c, acepté que el antivirus la eliminara y posteriormente, en la opción "LIMPIADOR" indicada con un bote de basura (dentro del mismo antivirus), hice otro escaneo, al finalizar le dia a la opción "LIMPIAR BASURA", al parecer ¡FUNCIONÓ! porque hasta el momento no han vuelto a aparecer los molestos anuncios, espero poder ayudarlos, al menos es lo que funcionó con mi celular, perdón por tanto rollo, pero creo que a veces es importante explicar o dar detalles de como te infectaste y de los pasos que seguiste para dar solución, para que quien busque ayuda, pueda tener una idea más cercana de si es o no parecido al problema que tiene. Se me olvidaba mencionar, yo tengo mi celular rooteado. No tengo idea de si eso haya tenido que ver para que se pudiera desinfectar. Espero esto les sea de ayuda. ¡SUERTE!

Jose Erick9210 5 octubre 2017 23:06

⋮

SOLUCIÓN DE ELIMINACIÓN VIRUS SETTINGS

Hola a todos en este muro, tengo excelentes noticias después de invesigar y batallar por meses con el virus settings lo pude eliminar sin necesidad de antivirus o cambiar room, ni procesos complejoy y arriesgados. Para iniciar la explicación veamos los antecedentes y entender mejor sobre este virus.

Los virus de android tienen diversos objetivos: colocar molesta publicidad, descargar aplicacciones sin permiso y lo más arriesgado acceder a tus datos sensibles por los desarrolladores de los virus.

Como funciona el virus settings: este virus se instala mediante una aplicación bajada de la web, (a mi se me infecto cuando instale el opera mini), una vez instalada la aplicación con el virus oculto se ejecuta y tu telefono se reinicia apareciendo un mensaje de "actualización" o algo similar, con un muñequito de android y unos engranes, significa que el virus se ha instalado como si fuese parte de tu sistema android por lo que los antivirus no lo reconocen y además no tienes acceso para eliminarlo.

SOLUCIÓN: aclaro, mi celular es marca Tmovi (chino) y veo que los chinos son más vulnerables a este tipo de virus ( se me infecto al mes de haberlo comprado).

REQUISITOS:

-Acceso wifi para tu telefono

-Aplicacion KingRoot (de play store)

-aplicación ES file explorer ( de play store)

PASOS:

1.- Rootear tu telefono: (Concede perimsos de superusuario) este proceso fue el mas costoso para mi porque intenté rootear desde mi PC con aplicaciones chinas, y diversas aplicaciones de play store como ROOT 4.3, FRAMARROT, entre otras y no me permitia, con la unica posible fue KING ROOT, pero si a ustedes no les funciona esta, busquen en internet hay muchisimos métodos de rooteo, además no es necesario hacer reinicio de fabrica del telefono ni desmontar SD, no se te borrará nada. (El root es EXTREMADAMENTE IMPORTANTE para eliminar este virus ).

2.- una vez rooteado el telefono, ejecutar ES FILE EXPLORER, en la parte superior izquierda te vas a ajustes, activas la opción del menu "EXPLORADOR ROOT", seleccionas nuevamente esta opción , aparece un menu, seleccionas "DESINSTALAR APP DEL SISTEMA" aparecen todas las aplicaciones de tu sistema, buscas "settings", seleccionas y le das en "DESINSTALAR". (como sugerencia debes tener muy bien identificado al virus para no eliminar alguna aplicación de tu sistema, recuerda que tienes acceso de superusuario) si no estas convencido si es virus o no, solo bloquea la aplicación sospechosa y te darás cuenta en el comportamiento del telefono.

Es necesario saber que aplicaciones son maliciosas y eliminarlas, yo eliminé "SETTINGS" , "ACTUALIZACION AUTOMATICA" Y "com.android.backup" pero hay infinidad de virus con diversos nombres, informate bien que virus te toca neutralizar. (nuevamente repito si no estas seguro, no elimines la aplicacion, solo bloqueala) si aun estas inseguro crea una "COPIA DE SEGURIDAD" o "backup" de las aplicaciones borradas y no tendrás problemas, es sencillo y se realiza con la misma aplicacion "ES file explorer".

ahora jamas se me ha vuelto a activar la opción de instalar aplicaciones de fuentes desconocidas, ni la molesta aplicación de actualización automática que me bajaba aplicaciones, ni publicidad molesta generada por "settings".

ESPERO LES SIRVA Y ALEGRE LA VIDA TANTO COMO A MI, SALUDOS

BocaDePez 26 diciembre 2017 14:44

⋮

Mi Go Mobille 503 "Modelo Go503" esta infectado o a instalado una aplicación llamada "com.android.ignore.service" y otra de la que se habla en el argumento, "FotaProvider", si las tienen o saben su función podrían eliminar si son SuperUsuario (Root) pero eeeeh cuidado, al ser usuario root tiene acceso a TODOS los campos del sistema, lo cual el MALICIOUS SOFTWARE (Malware) tiene acceso mas perjudicial, haganlo con cuidado

BocaDePez 4 enero 2018 23:02

⋮

Instala root en tu móvil y descarga es file explorer y borralo con esa app

BocaDePez 21 mayo 2018 15:36

⋮

Buenas, yo he tenido samsung ice 3, doogee x5 pro, horse y todos me han pillado virus.

Una de las opciones mas faciles es:

- una vez detectados los virus x el antivirus.

- reiniciar en modo seguro el mbl.

- ir a ajustes, aplicaciones y borrar o DETENER el puto Fota provider.

Tengo 2 doogee, en uno me ha funcionado y en otro no.

P.s. para reiniciar en modo seguro es: dejar pulsado en la pantalla el apagar.

Saludos

BocaDePez 3 noviembre 2018 04:35

⋮

Con Malwarebyte se elimina virus Setting

BocaDePez 20 enero 2019 19:45

⋮

Tienes que ir a Ajustes a Apps o Aplicaciones y abajo del todo si es una app sin nombre

BocaDePez 5 septiembre 2019 23:42

⋮

Utiliza la APP KingRoot, desrootear movil y despues elimiar app

BocaDePez 23 noviembre 2021 14:08

⋮

COmo hacer para que no me salgan publicaciones sin q lo quiera

BocaDePez 29 noviembre 2021 13:34

⋮

Esta app es una cosa sería no habrá forma de eliminarla para siempre!! No me deja en paz, no puedo formatear mi teléfono xq tengo autenticador de Google… y para recuperar las contraseñas es algo de loco si no tengo el QR de ella, x eso no puedo borrorla